sileny trafick na portu 137 a 138

[Glottis]

zdravim, mame na siti mensi problem. od par pc v siti (prakticky jen vzdy od jednoho zvlast - jeden to dela a pak se treba vystriaj) se siri broadcastove packety na portu 137 a 138. trafick to dela i 60KB! nejhorsi je ze to zaseka jeden ty ap co pouzivame. podle znaku by to vypadalo na blaster. ten se na siti zkutecne objevil ale ! ty packety jsou vysilany i kdyz pc resetnem a dostane se to az do biosu :/ pak to treba prestane a po bootu zase zacne. prste divneee. stalo se ze z urciteho ip sly tytto packety ale ten pc byl odpojenej od site nejakej fake ip :/ resime to ale proste si nevime rady :/ nesetkal se stim nekdo? ta sit je celkem rozlehla

tady je ukazka par packetu

Kód:

18:36:13.006585 192.168.3.147.23654 > 255.255.255.255.23654: udp 102
0x0000   4500 0082 7a7a 0000 8011 fbb5 c0a8 0393        E...zz..........
0x0010   ffff ffff 5c66 5c66 006e eb42 0100 0100        ....\f\f.n.B....
0x0020   0000 5065 7472 4050 3343 5a45 4348 0000        ..Petr@P3CZECH..
0x0030   1c00 0000 6010 1800 0000 0000 0000 a100        ....`...........
0x0040   94fa d100 d854 3a00 8cfc d100 289a 4200        .....T:.....(.B.
0x0050   f8c7 50f8 6970 6f6a 656e 6900 25fe 4100        ..P.ipojeni.%.A.
0x0060   1c00 0000 50fe 4100 1c00 0000 0000 0000        ....P.A.........
0x0070   b561 4400 1c00 0000 6854 1500 6010 1800        .aD.....hT..`...
0x0080   1c07                                           ..
18:36:13.546817 192.168.3.160.138 > 192.168.3.255.138: NBT UDP PACKET(138) (DF)
0x0000   4500 00fb 0000 4000 4011 b102 c0a8 03a0        E.....@.@.......
0x0010   c0a8 03ff 008a 008a 00e7 f1dd 110a 6f36        ..............o6
0x0020   c0a8 03a0 008a 00d1 0000 2045 4945 4246        ...........EIEBF
0x0030   4146 4146 4a43 4143 4143 4143 4143 4143        AFAFJCACACACACAC
0x0040   4143 4143 4143 4143 4141 4100 2045 4545        ACACACACAAA..EEE
0x0050   4246 4545 4246 4346 4543 4143 4143 4143        BFEEBFCFECACACAC
0x0060   4143 4143 4143 4143 4143 4142 4f00 ff53        ACACACACACABO..S
0x0070   4d42 2500 0000 0000 0000 0000 0000 0000        MB%.............
0x0080   0000 0000 0000 0000 0000 0000 0000 1100        ................
0x0090   0037 0000 0000 0000 0000 0000 0000 0000        .7..............
0x00a0   0000 0000 0037 0056 0003 0001 0001 0002        .....7.V........
0x00b0   0048 005c 4d41 494c 534c 4f54 5c42 524f        .H.\MAILSLOT\BRO
0x00c0   5753 4500 0ff0 80fc 0a00 4841 5050 5900        WSE.......HAPPY.
0x00d0   0000 0000 0000 0000 0000 0409 039a 0400        ................
0x00e0   0f01 55aa 5361 6d62 6120 322e 322e 3720        ..U.Samba.2.2.7.
0x00f0   6f6e 2028 6861 7070 7929 00                    on.(happy).
18:36:13.547806 192.168.3.160.138 > 192.168.3.255.138: NBT UDP PACKET(138) (DF)
0x0000   4500 00ea 0000 4000 4011 b113 c0a8 03a0        E.....@.@.......
0x0010   c0a8 03ff 008a 008a 00d6 5a5e 110a 6f37        ..........Z^..o7
0x0020   c0a8 03a0 008a 00c0 0000 2045 4945 4246        ...........EIEBF
0x0030   4146 4146 4a43 4143 4143 4143 4143 4143        AFAFJCACACACACAC
0x0040   4143 4143 4143 4143 4141 4100 2041 4241        ACACACACAAA..ABA
0x0050   4346 5046 5045 4e46 4445 4346 4345 5046        CFPFPENFDECFCEPF
0x0060   4846 4445 4646 5046 5041 4341 4200 ff53        HFDEFFPFPACAB..S
0x0070   4d42 2500 0000 0000 0000 0000 0000 0000        MB%.............
0x0080   0000 0000 0000 0000 0000 0000 0000 1100        ................
0x0090   0026 0000 0000 0000 0000 0000 0000 0000        .&..............
0x00a0   0000 0000 0026 0056 0003 0001 0001 0002        .....&.V........
0x00b0   0037 005c 4d41 494c 534c 4f54 5c42 524f        .7.\MAILSLOT\BRO
0x00c0   5753 4500 0cf0 80fc 0a00 4441 5441 5254        WSE.......DATART
0x00d0   0000 0000 0000 0000 0000 0409 0010 0080        ................
0x00e0   0f01 55aa 4841 5050 5900                       ..U.HAPPY.

[-=Majkl=-]

kdyz je to jen v biosu, tak to vysila pakety?

a jde to pingnout? kam se pak dopracujes traceroutem?

[Jezevec]

Tak
A) Tohle jsou wokeni porty a v ramci bezpecnosti bych je zakazal = zakazat pouzivat M$ sdileni.
B) To ze to posila komp z BIOSu je blbost, aby si vubec videl sitovky na IP vrstve, musi ti bezet OS.

Tenhle bordel proste posilaj wokna do site kdyz hledaj okolni kompy (= skoro furt).

[Glottis]

tak asi vyreseno ale nebudete tomu verit. teda snad to neni predcasne.

mi to nedalo a chytil sem i mac toho kdo to posila. a dost me prekvapilo ze se ip lisi od toho co je v packetu a co je realita ! litalo to vsechno od jen dvou ip. a to ip dvou HW ap dlink 2000ap+ s firmwarem 1.10. posilali pekne na stridacku, jedno a druhe a jedno a druhe. po zmene firmwera na jednom ap na starsi 1.03 to prestalo, zatim se to teda nedeje. to prefleshnute se eozvalo asi ani jednou a to druhe parkrat ale to je par packetu.

takze tentokrate zadne widle :/ ale ap. opravdu moooc zajimave. ma na to nekdo nejakej nazor a vysvetleni?

[KUBA]

Jo, D-Link smrdí! Používáme v síti taky APčka D-Lniky a jsou tajemný, jak hrad v Karpatech. Teda, abych nehaněl, choděj celkem dobře, ale dostat je do funkčního stavu chce tejden dovolenou a ocelový nervy. Flashování tisíců firmwarů bylo na dením pořádku stejně jako zkoušení různejch konfigurací. Kupříkladu s nějakym firmwarem fungovala v pohodě regulace výkonu, ale nešlo přepínání antén, s nějakym tohle chodí, ale teď se nám zase objevil problém, že AP občas není vidět z karet s Prim 2 chipsetem, no prostě sranda. Na druhou stranu, když se ten D-Lnik vychytá, tak zas celkem běží (až 850 kB/s - 2 x DWL-900 proti sobě).

A jinak Glottisi, jak vám ty D-Linky 2000 choděj? Jednoho teď taky máme, ale zatim jsme ho nezkoušeli. Co jsem tak zběžně omrknul web interface, tak mě naštvalo, že to asi nemá přepínání antén ani regulaci výkonu . Ale zase, když jsem koukal dovnitř, tak má na chipsetu pěknej pasivek, tak by to snad při zátěži mohlo bejt stabilnější než třeba DWL-900, no jsem zvědavej.

[Glottis]

dlink 900ap+ rev.c slape jak hodinky pouze ale jen s puvodnim firmwarem 3.02 :/ teda jako bridge. a slapou krasne, jsou jaik kus dratu. jen maj prehozene anteny

ty 2000 cece nic moc jsme celkem zklamani. nevime cim to je jestli rusenim bo co ale strasne kolisa ping. prenosem se nedostanem v prumeru pres 700-800. spicky to ma tak do 1,2MB/s. pritom to mame kouusek od sebe. asi 200-300m a 18dB sejta proti sobe :/ asi to nekdo rusi, ale to jsme jeste nezkoumli promeroat, neni cas. osobne je moc nedoporucuju, to radsi ty 900ap+ revC. stema clovek neprohloupi. uz jen ta regulace vykonu a ze maj dve anteny. ty 2000ky se tvarej fakt e maj jen externi. sice aspon odpada puser ve firmware ze si nemuzes vybrat ale ...

[Kon]

DLink: 2000AP nemá regulaci výkonu a co se týče FW tak je to magie. Citlivost je strašně malá viz info na inwifi.cz . Ten Turbo Mode funguje zabíráním 2 kanálu vedle 6. kanálu.
Teďka je nový 2100AP ale ten stojí 2.5x tolik. má regulaci výkonu i lepší fci WPA.
V g mode (54 Mbps) , co vím, má regulaci výkonu Buffalo, USR, NEtgear a ten Dlink. Kdo umí WPA (ve vše modech AP, client, ...) je Bufallo a snad i ten 2100AP .
Buffalo má zase nevýhodu, že má výstup na MMC lUcent konektor tzn. pigtail je drahý.

[KUBA]

No právěže, když jsem koukal dvonitř, tak jsem zjistil, že ten DWL-2000AP má výstup na externí anténu, ale má i jednu interní, což je totálně na .... , když se to nedá přepínat. Takhle bude pořád vysílat v diversity a to je mizerný, protože signál je podstatně horší a vůbec to je na prd .